“Sono preoccupato per l’email che ho ricevuto da Cloudflare, poiché uso Cloudflare nella mia installazione, qualcuno potrebbe aiutarmi a capire di cosa si tratta? Sarò offline?”
Ciao,
ti informiamo di un imminente cambiamento che influenzerà la compatibilità dei dispositivi dei certificati Let’s Encrypt emessi dopo il 15 maggio 2024. Ti contattiamo perché abbiamo identificato che stai attualmente utilizzando certificati Let’s Encrypt tramite Universal SSL, Advanced Certificate Manager, Custom Certificates o SSL for SaaS. Ti consigliamo di familiarizzare con il cambiamento di Let’s Encrypt ed effettuare le modifiche necessarie in anticipo.
Panoramica del cambiamento
Let’s Encrypt emette certificati tramite due catene: la catena ISRG Root X1 e la catena ISRG Root X1 cross-signed da DST Root CA X3 di IdenTrust. La catena cross-signed ha permesso ai certificati Let’s Encrypt di ottenere un’ampia fiducia, mentre la catena pura ha sviluppato la compatibilità con vari dispositivi negli ultimi 3 anni, aumentando il numero di dispositivi Android che si fidano di ISRG Root X1 dal 66% al 93,9%.
Let’s Encrypt ha annunciato che la catena cross-signed scadrà il 30 settembre 2024. Di conseguenza, Cloudflare smetterà di emettere certificati dalla catena CA cross-signed il 15 maggio 2024.
Impatto
La scadenza della catena cross-signed influenzerà principalmente i dispositivi più vecchi (ad esempio, Android 7.0 e versioni precedenti) e i sistemi che si basano esclusivamente sulla catena cross-signed e non dispongono della catena ISRG Root X1 nel loro trust store. Questo cambiamento potrebbe causare errori di convalida del certificato su questi dispositivi, portando potenzialmente a messaggi di avviso o problemi di accesso per gli utenti che visitano il tuo sito web.
Impatto sui certificati emessi tramite Universal SSL, Advanced Certificate Manager o SSL for SaaS:
Per prepararsi alla scadenza della CA, dopo il 15 maggio, Cloudflare non emetterà più certificati dalla catena cross-signed. I certificati emessi prima del 15 maggio continueranno a essere serviti ai client con la catena cross-signed. I certificati emessi il 15 maggio o dopo utilizzeranno la catena ISRG Root X1. Inoltre, questo cambiamento influisce solo sui certificati RSA. Non influisce sui certificati ECDSA emessi tramite Let’s Encrypt. I certificati ECDSA manterranno lo stesso livello di compatibilità che hanno oggi.
Impatto sui certificati caricati tramite Custom Certificates:
I certificati caricati su Cloudflare sono associati alla catena di certificati che Cloudflare ritiene più compatibile ed efficiente. Dopo il 15 maggio 2024, tutti i certificati Let’s Encrypt caricati su Cloudflare saranno associati alla catena ISRG Root X1, invece che alla catena cross-signed. I certificati caricati prima del 15 maggio continueranno a utilizzare la catena cross-signed fino al rinnovo di tale certificato.
Date importanti
15 maggio 2024: Cloudflare smetterà di emettere certificati dalla catena CA cross-signed. Inoltre, i Custom Certificates Let’s Encrypt caricati dopo questa data saranno associati alla catena ISRG X1 invece che alla catena cross-signed.
30 settembre 2024: La catena CA cross-signed scadrà.
Raccomandazioni:
Per ridurre l’impatto di questo cambiamento, ti consigliamo di intraprendere i seguenti passaggi:
- Cambiare CA: Se i tuoi clienti effettuano richieste alla tua applicazione da dispositivi legacy e prevedi che questo cambiamento li influenzerà, ti consigliamo di utilizzare un’autorità di certificazione diversa o di caricare un certificato dalla CA di tua scelta.
- Monitoraggio: Una volta che il cambiamento sarà implementato, ti consigliamo di monitorare i tuoi canali di supporto per eventuali richieste relative ad avvisi sui certificati o problemi di accesso.
- Aggiornare il Trust Store: Se controlli i client che si connettono alla tua applicazione, ti consigliamo di aggiornare il trust store per includere la catena ISRG Root X1 per prevenire impatti.
“Questa è stata l’email che ho ricevuto da loro, ma con alcuni problemi, sono un profano, ho cercato di capire, ho fatto ricerche, ma non sono riuscito a capire la gravità di tutto ciò, se qualcuno vuole aiutarmi, sarò grato.”